Breaking News
القائمة
Advertisement

برمجية RedHook الخبيثة تستغل أدوات مطوري أندرويد لسرقة الحسابات المصرفية

برمجية RedHook الخبيثة تستغل أدوات مطوري أندرويد لسرقة الحسابات المصرفية
صورة ذكاء اصطناعي

تستغل برمجية RedHook الخبيثة المُحدّثة أدوات تصحيح الأخطاء اللاسلكية في نظام أندرويد لاختراق الأجهزة وسرقة الحسابات المصرفية للضحايا بصمت. وكشفت شركة الأبحاث الأمنية Group-IB عن تفاصيل حصان طروادة (Trojan) متطور للوصول عن بُعد، يتجاوز التدابير الأمنية القياسية عبر اختطاف ميزات المطورين المشروعة. وبعد اكتشافها لأول مرة العام الماضي بواسطة شركة Cyble باستهدافها مستخدمين في فيتنام، وسّعت البرمجية الآن نطاق عملياتها لتشمل مناطق أخرى في جنوب شرق آسيا، بما في ذلك إندونيسيا.

تبدأ سلسلة الهجوم عبر تقنيات الهندسة الاجتماعية (Social Engineering)، حيث ينتحل المهاجمون صفة وكلاء دعم فني لمؤسسات موثوقة عبر الرسائل النصية أو رسائل البريد الإلكتروني أو منصات التواصل الاجتماعي. ويتم توجيه الضحايا إلى موقع ويب احتيالي مصمم لتقليد متجر Google Play، لخداعهم وتنزيل حزمة تثبيت أندرويد (APK) خبيثة. وبمجرد التثبيت، يطلب التطبيق من المستخدم منحه أذونات إمكانية الوصول (Accessibility) بحجة أنها ضرورية لعمل التطبيق.

كيف تخترق برمجية RedHook نظام ADB اللاسلكي

يكمن الخطر الحقيقي لبرمجية RedHook الخبيثة في استغلالها الآلي لصلاحيات النظام. فباستخدام أذونات إمكانية الوصول الممنوحة، تتنقل البرمجية خفية عبر إعدادات الجهاز لتفعيل أداة تصحيح أندرويد (ADB) اللاسلكية داخل خيارات المطور (Developer options). ويمنح هذا الإجراء البرمجية صلاحيات الوصول إلى الصدفة (UID 2000)، مما يضع الجهاز بالكامل تحت سيطرة المهاجمين.

ومع تأمين هذه الصلاحيات المتقدمة، يمكن للمهاجمين تسجيل ضغطات المفاتيح، وتجاوز شاشات القفل، وبث شاشة الجهاز في الوقت الفعلي. ولضمان عدم إزالتها بسهولة، يستخدم هذا الإصدار المُرقّى آليات متعددة للتهرب من الاكتشاف والبقاء في النظام. وتعتمد البرمجية على قفل الاستيقاظ (WakeLock) لإجبار نظام أندرويد على إبقاء العملية الخبيثة قيد التشغيل المستمر في الخلفية.

علاوة على ذلك، تُفعّل البرمجية بكسلاً واحداً غير مرئي تقريباً على الشاشة، مما يخدع نظام التشغيل ليعتبرها عملية نشطة وحرجة في الواجهة الأمامية لا ينبغي إنهاؤها. وأوضح باحثو شركة Group-IB أن البرمجية تعتمد أيضاً على "آلية إحياء متبادلة بين خدمتين"، حيث تقوم وظيفتان منفصلتان بمراقبة بعضهما البعض باستمرار، وإعادة تشغيل الوظيفة الأخرى فور إغلاقها من قِبل المستخدم أو النظام.

خطوات عملية لحماية جهازك

نظراً لأن حصان طروادة هذا يعتمد على تفاعل المستخدم لتأسيس موطئ قدم أولي، فإن الحفاظ على وعي رقمي صارم يُعد أمراً بالغ الأهمية. اتبع هذه الخطوات لتأمين جهاز أندرويد الخاص بك ضد تهديدات الوصول عن بُعد المشابهة:

  • تجنب التحميل الجانبي: اقتصر على تنزيل التطبيقات من المصادر الرسمية الموثوقة مثل متجر Google Play، وتجنب نهائياً تثبيت ملفات APK من روابط مرسلة عبر الرسائل النصية أو البريد الإلكتروني.
  • مراجعة الأذونات: تحقق بانتظام من التطبيقات التي تمتلك صلاحية الوصول إلى ميزات إمكانية الوصول، حيث تُستغل هذه الأذونات بكثرة من قِبل البرمجيات الخبيثة لأتمتة المهام الضارة.
  • تعطيل أدوات المطورين: إذا لم تكن مطوراً نشطاً للبرمجيات، تأكد من إيقاف تشغيل خيارات المطور وأداة ADB اللاسلكية تماماً من إعدادات النظام.

معضلة أدوات المطورين الأمنية

يُبرز تطور برمجية RedHook الخبيثة خللاً هيكلياً مستمراً في أنظمة تشغيل الهواتف المحمولة، حيث أصبحت الأدوات المصممة أساساً لتمكين المطورين ومساعدة ذوي الاحتياجات الخاصة هي الأسلحة الأكثر فتكاً في أيدي المهاجمين. ومن خلال أتمتة التفاعلات مع واجهة المستخدم عبر خدمات إمكانية الوصول، يمكن للجهات الخبيثة تجاوز محركات اكتشاف البرمجيات الضارة التقليدية التي تبحث عن التوقيعات البرمجية بدلاً من السلوكيات المسيئة.

وتشير التقارير إلى أن شركة Google تعمل على إغلاق هذه الثغرة المحددة عبر تعطيل الوصول إلى خيارات المطور كجزء من ميزات الحماية المتقدمة القادمة لنظام أندرويد. ولكن حتى يتم نشر هذه الضمانات على مستوى النظام عالمياً، تقع المسؤولية بالكامل على عاتق المستخدم. وتُثبت آليات البقاء المعقدة التي يستخدمها هذا التهديد أن معالجة الاختراق بعد حدوثه أمر بالغ الصعوبة، مما يجعل الوقاية الاستراتيجية الوحيدة الفعالة.

هل أعجبك هذا المقال؟
Advertisement

عمليات البحث الشائعة